Le phénomène connu sous le nom de "secrets sprawl" se poursuit, mais en 2025 il s'accélère à un rythme qui a surpris de nombreuses équipes de sécurité. Une analyse à grande échelle des dépôts publics et des environnements internes révèle que des millions de références ont été exposées en code, dans des outils collaboratifs et dans des images et des enregistrements, élargissant une surface d'attaque déjà difficile à contenir. Les chiffres sont forts: en 2025 seulement des dizaines de millions de nouveaux secrets ont été détectés, qui confirme que la détection ponctuelle n'est plus suffisante.
Derrière cette explosion est un facteur qui mérite une attention particulière : l'adoption massive d'outils d'intelligence artificielle et de flux de travail assistés par des modèles. Les assistants de code et les générateurs d'extraits de code ont changé à la fois la façon dont ils écrivent les logiciels et l'endroit où ils sont stockés et partagés des références. Les intégrations IA génèrent de nouvelles identités de machine à machine et multiplient les points de fuite des clés API pour les services LLM aux jetons pour orchestres et backends gérés. Pour comprendre pourquoi cela est essentiel, il suffit de voir que bon nombre des catégories de secrets les plus en croissance sont liées à l'infrastructure de l'IV et de ses API.
Une autre constatation qui devrait modifier les priorités de toute équipe de sécurité est l'emplacement de secrets de grande valeur. Bien que la focalisation des médias soit généralement en public GitHub, les environnements internes contiennent la plupart des identifiants sensibles : jetons CI / CD, clés d'accès au cloud, mots de passe de base de données, etc. Traiter les dépôts internes comme s'ils étaient « cachés » n'est plus une stratégie viable, parce que dans de nombreux cas ils sont précisément l'objectif qui permet d'évaluer un engagement d'un point initial à des ressources critiques.
De plus, les fuites ne sont pas limitées au code source. Une partie importante des incidents provient d'outils de collaboration tels que les canaux de messagerie, les tickets et la documentation partagée. Ces espaces sont utilisés pour résoudre des incidents, pour l'embarquement ou pour l'échange rapide d'identifications temporaires, et reçoivent souvent des contrôles moins automatisés que le code. Lorsque les clés apparaissent dans Slack, Jira ou Confluence sont souvent plus critiques parce que leur exposition n'est pas limitée à l'historique des engagements mais est répartie entre les équipements et les logos.
La présence de secrets dans les infrastructures et les conteneurs est un autre vecteur inquiétant. La numérisation des enregistrements et des systèmes Git auto-ménagés a montré des milliers de références exposées, avec un pourcentage important encore valide au moment de la constatation. Les images de Docker, en particulier, contiennent souvent des artefacts de construction et des variables d'environnement qui finissent par être des copies durables des clés et des jetons. Lorsque les références voyagent en images ou construisent des artefacts, leur rotation est compliquée et leur potentiel d'impact est multiplié.
Une chose qui devrait sonner toutes les alarmes est la durabilité des secrets filtrés: beaucoup d'identifications confirmées comme valides il y a des années restent exploitables aujourd'hui. Cela indique que les processus de révocation et de rotation ne sont pas systématiquement mis en œuvre; dans de nombreux environnements, l'option par défaut d'une rotation qui pourrait briser la production est de ne rien faire. La détection sans véritable capacité d'assainissement systématique transforme les résultats en vulnérabilités persistantes.
Les attaques contre la chaîne d'approvisionnement ont offert une fenêtre particulièrement révélatrice sur la façon dont les secrets se comportent sur les machines compromises. Les recherches qui ont analysé les systèmes compromis ont montré que le même justificatif peut apparaître en plusieurs endroits sur la même équipe : fichiers .env, historique de shell, configurations IDE, caches et construction d'artefacts. Et, plus alarmant, une proportion importante de machines engagées étaient des coureurs CI / CD, qui ont transformé une fuite locale en un problème d'organisation. Une clé reproduite dans plusieurs artefacts transforme une erreur humaine locale en un accès à grande échelle.
La normalisation des agents et des protocoles qui relient les modèles aux outils et aux données introduit une nouvelle classe d'expositions. Comme les systèmes IA sont intégrés à des services externes par des configurations et des drapeaux locaux, il est plus courant de trouver des secrets dans les fichiers JSON ou dans les configurations d'agents. Cela soulève une question opérationnelle que de nombreuses organisations ne répondent toujours pas à une échelle : quelles identités non humaines existent, qui les gère et quels permis possèdent-elles? Sans inventaire et gouvernance des identités machine-à-machine, l'adoption de l'IA risque de créer un maillage d'accès incontrôlable.
La réponse n'est pas de revenir à l'isolement, mais de transformer la façon dont les titres sont gérés dans le développement quotidien. Il est essentiel de laisser derrière eux des références statiques et à long terme, d'intégrer des identités éphémères et courtes, et de convertir la voûte et les solutions secrètes en l'expérience par défaut pour les développeurs. De plus, chaque compte de service, chaque IC Job et chaque agent doivent recevoir un traitement du cycle de vie : création, propriété, permissions et révocation. Une sécurité efficace nécessite de passer de la détection des fuites à l'automatisation de la médiation et de la gouvernance des identités non humaines.
Si vous cherchez des lectures et des ressources à approfondir, les pages GitGuardian fournissent une analyse complète de ces phénomènes, tandis que des plateformes telles que la détection de documents GitHub et les pratiques de durcissement pour pipelines et actions ( Documentation GitHub sur la numérisation secrète et durcissement des actions de GitHub). Pour adopter des flux de travail axés sur l'identité et les références éphémères, la documentation de solutions telles que HashiCorp Vault propose des guides pratiques ( Vault de HashiCorp), ainsi que les cadres et recommandations sur la sécurité de la chaîne d'approvisionnement SLSA ou les ressources de CISA aider à contextualiser les risques et les mesures défensives.
Bref, le périmètre a changé et avec lui doit changer la stratégie. L'âge du seul public GitHub scanner et attendre la conformité n'est plus suffisant. Les organisations qui souhaitent continuer à déployer des IA et accélérer le développement non exposé doivent intégrer la pleine visibilité - dépôts internes, outils de collaboration, conteneurs, enregistrements et paramètres de développement - avec des processus de rotation automatisés et une gouvernance d'identité non humaine. Ce n'est qu'ainsi que le bruit de millions de secrets deviendra une gestion d'accès durable et sécurisée.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...